Dans un avis conjoint, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.
La campagne, qui a débuté des mois avant d’être découverte, a infecté le système de construction et de distribution des logiciels de SolarWinds et l'a utilisé pour envoyer des mises à jour détournées à environ 18 000 clients. Les pirates ont ensuite envoyé des charges utiles de suivi à une dizaine d'agences fédérales américaines et à une centaine d'organisations privées. Outre l'attaque de la chaîne d'approvisionnement de SolarWinds, les pirates ont également utilisé des mots de passe et d'autres techniques pour pénétrer dans les réseaux. Microsoft est l’une des sociétés privées de premier plan qui ont été touchées par l’opération malveillante et dont le code de ses produits a été volé et mis en vente par les cybercriminels.
Après la révélation de cette opération massive, le président de Microsoft, Brad Smith, l'a qualifiée d'« acte d'imprudence ». Lors d'un appel aux journalistes jeudi, le directeur de la cybersécurité de la NSA, Rob Joyce, a fait écho à l'évaluation selon laquelle l'opération a dépassé les normes établies en matière d'espionnage gouvernemental.
« Nous avons observé absolument de l'espionnage », a déclaré Joyce. « Mais ce qui est inquiétant, c'est qu'à partir de cette plateforme, de la large échelle de disponibilité de l'accès qu'ils ont obtenu, il y a la possibilité de faire d'autres choses, et c'est quelque chose que nous ne pouvons pas tolérer et c'est pourquoi le gouvernement américain impose des coûts et repousse ces activités ».
L'avis conjoint de jeudi indique que les pirates soutenus par le SVR sont à l'origine d'autres campagnes récentes visant les installations de recherche covid-19, à la fois en les infectant avec des logiciels malveillants connus sous les noms de WellMess et WellMail et en exploitant une vulnérabilité critique dans le logiciel Vmware. Dans une déclaration coordonnée en juillet dernier, la Grande-Bretagne, les États-Unis et le Canada ont attribué ces attaques au groupe APT29, également connu sous le nom de Cozy Bear, qui, selon eux, opérait presque certainement dans le cadre des services de renseignement russes. « Nous condamnons ces attaques ignobles contre ceux qui font un travail vital pour lutter contre la pandémie de coronavirus », avait déclaré le directeur des opérations du NCSC, Paul Chichester.
Les cinq vulnérabilités critiques, en incluant la faille VMware, sont les suivantes :
- CVE-2018-13379 Fortinet FortiGate VPN
- CVE-2019-9670 Synacor Zimbra Collaboration Suite
- CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
- CVE-2019-19781 Contrôleur et passerelle de livraison d'applications Citrix
- CVE-2020-4006 Accès à VMware Workspace ONE
Selon l'avis, les services de renseignement russes poursuivent leur campagne, notamment en ciblant les réseaux qui n'ont pas encore corrigé l'une de ces vulnérabilités critiques.
« L'atténuation de ces vulnérabilités est d'une importance capitale, car les réseaux américains et alliés sont constamment scannés, ciblés et exploités par des cyberacteurs parrainés par l'État russe », lit-on dans l'avis. La NSA, le CISA et le FBI encouragent vivement tous les acteurs de la cybersécurité à vérifier que leurs réseaux ne présentent pas d'indicateurs de compromission liés aux cinq vulnérabilités et aux techniques décrites dans l'avis, et à mettre en œuvre de toute urgence les mesures d'atténuation associées ».
Un représentant du fournisseur de VPN Pulse a noté que les correctifs pour CVE-2019-11510 ont été publiés en avril 2019. « Les clients qui ont suivi les instructions d'un avis de sécurité Pulse Secure publié à ce moment-là ont correctement protégé leurs systèmes et atténué la menace ». Au cours des dernières semaines, FortiNet a également souligné qu'il avait patché CVE-2018-13379 en mai 2019. Les fabricants des autres matériels et logiciels affectés ont également publié des correctifs.
Six entreprises russes sanctionnées pour avoir soutenu les activités de piratage du SVR
De hauts responsables américains de l’administration Trump, dont le secrétaire d'Etat Mike Pompeo, avaient précédemment suggéré que la campagne de piratage était menée par un groupe soutenu par la Russie. Tout comme les services de renseignement et de sécurité américains, la Maison-Blanche a déclaré jeudi dans un communiqué de presse que le SVR russe était responsable du piratage de SolarWinds qui a conduit à la compromission des principales agences fédérales et de centaines d'entreprises du secteur privé.
Le communiqué du Département du Trésor américain était accompagné de sanctions en représailles à ce qu'il a qualifié d'« activités agressives et nuisibles du gouvernement de la Fédération de Russie ». Les mesures comprennent des sanctions contre six entreprises basées en Russie qui, selon le Département, « ont soutenu les efforts des services de renseignement russes pour mener des cyberactivités malveillantes contre les États-Unis ».
Les six sociétés et instituts russes concernés par les nouvelles sanctions américaines sont : ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies.
« La raison pour laquelle elles ont été mentionnées est qu'elles font partie intégrante de l'opération que le SVR exécute et y participent », a déclaré Joyce à propos des six sociétés. « Nous espérons qu'en privant le SVR du soutien de ces sociétés, nous réduirons leur capacité à projeter certaines de ces activités malveillantes dans le monde et en particulier aux États-Unis ».
Alors que certains experts en sécurité nationale affirment que l'opération de piratage de SolarWinds pourrait être considérée comme une activité d'espionnage traditionnelle, ce qui n'est pas rare chez les pirates du gouvernement, le Département du Trésor a dit dans son communiqué que « la portée et l'ampleur de cette compromission, combinées à l'histoire de la Russie dans la réalisation de cyberopérations imprudentes et perturbatrices, en font une préoccupation de sécurité nationale ».
Cependant, les responsables du gouvernement russe ont fermement nié toute implication dans la campagne de piratages contre SolarWinds.
Le gouvernement russe « cultive et coopte des pirates informatiques criminels » pour cibler des organisations américaines, a poursuivi le Département du Trésor dans sa déclaration. Un groupe, connu sous le nom d'Evil Corp, a été sanctionné en 2019. La même année, les procureurs fédéraux ont inculpé le pivot d'Evil Corp, Maksim V. Yakubets, et ont affiché une prime de 5 millions de dollars pour toute information menant à son arrestation ou à sa condamnation.
La campagne SVR est toujours en cours et exploite actuellement les exploits mentionnés ci-dessus. Dans un tweet publié jeudi, des chercheurs ont déclaré qu'ils observent un balayage Internet destiné à identifier les serveurs qui n'ont pas encore corrigé la vulnérabilité de Fortinet, que l'entreprise a corrigée en 2019. Le balayage pour les autres vulnérabilités est également probablement en cours.
« Les vulnérabilités contenues dans le communiqué d'aujourd'hui font partie de la boîte à outils du SVR pour cibler les réseaux des secteurs publics et privés. Nous devons rendre le travail du SVR plus difficile en les éliminant », a déclaré Rob Joyce.
La NSA, la CISA et le FBI recommandent aux personnes qui gèrent des réseaux, en particulier ceux qui n'ont pas encore corrigé l'une des cinq vulnérabilités de se rapporter à la dernière alerte du CISA, qui fournit des détails techniques détaillés sur la campagne de piratage en cours et les moyens de détecter et d'atténuer les compromissions.
Sources : Communiqué de presse, Avis de cybersécurité, Alerte du CISA
Et vous ?
Qu’en pensez-vous ?
Quel commentaire faites-vous des sanctions contre les sociétés russes qui aident le SVR dans ses cyberopérations ?
Voir aussi :
Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements »
Des pirates russes liés au Kremlin ont ciblé des installations de recherche sur les vaccins contre le covid-19 aux États-Unis, au Royaume-Uni et au Canada, selon les autorités du Royaume-Uni